微處理器現在是我們日常生活的一部分,集成到從手機到汽車,從計算機到電視的各種設備中。這些微處理器都將包含閃存,在黑客和數據泄露的現代世界中,安全性越來越受到關注。
制定數據存儲安全策略可能是一項非常多方面的任務,需要考慮法律要求并影響系統架構和數據保護。大多數系統在每個級別都具有安全性,通常稱為分層安全性。頂層將負責通信協議和人機接口,而應用軟件級將提供加密和用戶身份驗證。但是,在為設備定義安全策略時,重要的是要考慮單個用例,沒有一種適合所有安全解決方案的尺寸。
識別和認證
安全協議需要從設備標識自身開始。有多種方法可以驗證此信息,最常見的是密碼;生物識別(例如指紋)形式的身份驗證也變得越來越普遍。組件身份驗證是抵御與內存相關的威脅的有用安全解決方案。任何未能使用某種組件身份驗證的設備或系統都可能面臨將關鍵系統組件與未經批準的組件交換的風險,這可能會損害設計。
標準密碼方法的漏洞可以通過采用雙因素或多因素身份驗證 (MFA) 來解決。這增加了另一層安全性,用代碼補充了用戶名和密碼模型,通常是一次性代碼或生物識別信息,只有特定用戶才能訪問。
下一步是授權。一旦用戶確定了自己的身份,就可以根據授權的數據集對其進行驗證,如果他們在列表中,則可以授予訪問權限。
存取控制
訪問控制是指對系統資源訪問的控制;在用戶的帳戶憑據和身份經過身份驗證后,他們就可以訪問系統。有各種類型的訪問控制正在使用中,包括強制,自由裁量,基于角色和基于規則。
強制訪問控制 (MAC) 是所有控制級別中最嚴格的,采用分層方法來控制對資源的訪問。在 MAC 強制實施的環境中,對所有資源對象(如數據文件)的訪問由系統管理員定義的設置控制。它是迄今為止最安全的訪問控制形式,但也存在挑戰,例如廣泛的前瞻性規劃和廣泛的系統管理要求。
與 MAC 不同,MAC 對系統資源的訪問由操作系統控制,而自由訪問控制 (DAC) 允許每個用戶控制對自己數據的訪問。DAC 通常是大多數桌面操作系統的默認訪問控制機制。
基于角色的訪問控制 (RBAC) 下的訪問基于用戶的工作職能,該工作職能授予組織中的工作職能。最后,在基于規則的訪問控制 (RBAC) 下,根據系統管理員定義的一組規則,允許或拒絕對資源對象進行訪問。
加密數據
但是,每個驅動器的核心是數據本身,最終的障礙是在發生違規行為時保護它。保護數據的最佳方法是在硬件級別對其進行加密。自加密硬盤 (SED) 可自動連續加密硬盤上的數據,無需任何用戶交互。如果存儲驅動器具有支持硬件加密的內置控制器(如 256 位 AES 加密控制器),則可以使用全磁盤加密。
最重要的全球標準是高級加密標準(AES),這是一種替代排列網絡(SPN)分組密碼算法。這的工作原理是獲取一個純文本塊,并在128,192或256位處對其應用交替的替換和排列框,具體取決于加密所需的強度。在替換排列過程中會生成加密密鑰,從而允許預期接收者破譯和讀取數據。但是,如果沒有密鑰,數據將完全混亂且無法理解。
SED的另一個好處是能夠以加密方式擦除驅動器。這意味著可以將經過身份驗證的命令發送到驅動器,以更改存儲在驅動器上的 256 位加密密鑰,從而清理驅動器。
密鑰管理
到目前為止,安全方法都基于密碼學。任何加密系統都需要密鑰,而此類系統的挑戰是在系統上保護密鑰,以及在密鑰預配期間保護密鑰。
成功的密鑰管理對于密碼系統的安全性至關重要。密鑰可以是對稱的,也可以是不對稱的。在對稱密鑰加密中,使用相同的加密密鑰來加密和解密數據。另一方面,非對稱密鑰是一對分別用于加密和解密數據的密鑰。在系統的整個生命周期中,將需要一個密鑰管理系統來管理這些密鑰。
安全解決方案
如前所述,解決方案需要針對每個特定用例進行定制。對于移動支付、安全移動通信和數字版權管理 (DRM) 等安全應用,需要專用的專有固件,以便利用 ISO 7816 接口實施加密密鑰管理,并與主機應用程序安全可靠地進行通信。為了在任何SD卡控制器和NAND閃存上實現這一點,可以集成智能卡IC,就像集成在任何信用卡或SIM卡中的智能卡IC一樣。或者,可以集成包括天線在內的NFC功能。
超石控制器支持的其他接口可以直接通過客戶固件擴展 (CFE) 進行驅動。例如,超石的 S8 具有 16 個 GPIO,可提供 SDIO3.0、SPI 或 I2C 等附加接口。主機應用程序的專有命令可以通過 SD/MMC 協議傳輸。提供軟件開發工具包來開發應用程序。
Hyperstone 應用程序編程接口 (API) 是閃存控制器的解決方案推動者,因為它增加了客戶設計的可能性范圍。這些定制應用程序可以獨立于閃存控制器固件進行開發。因此,CFE將成為固件代碼的一部分,并將與其他固件功能一起集成。它們中的大多數都是在后臺執行的,對用戶是透明的,但與閃存的安全性,耐用性和性能有關。
超石的閃存控制器 API 支持通過用戶友好的套件開發專用的專有功能。標準固件中已經實現了幾個功能,以簡化 CFE 開發并啟用高級功能。對標準固件的持續增強確保了添加附加功能的潛力繼續增長。
通過使用 API,可以在 API 用戶的嚴格控制下開發 CFE。這對于實現安全性或關鍵功能差異化至關重要。API 文檔提供了一整套實用程序和示例,可以快速實現專有固件擴展。
結論
隨著未來設備中數據和內存的更多使用,維護安全性的挑戰將變得越來越重要。但是,通過確保您在每個級別都有結構化的安全方法和適合應用程序的策略,可以維護存儲設備的安全性。但有一點是明確的:安全性不能再是事后的想法或附加物,它必須是整個設計過程的核心。
審核編輯:郭婷
-
計算機
+關注
關注
19文章
7518瀏覽量
88193 -
操作系統
+關注
關注
37文章
6847瀏覽量
123427 -
微處理器
+關注
關注
11文章
2269瀏覽量
82546
發布評論請先 登錄
相關推薦
評論